脆弱性対策情報データベース JVN ipedia に関する活動報告レポート [2017 年第 3 四半期 (7 月 ~9 月 )] 脆弱性対策情報データベース JVN ipedia に関する活動報告レポートについて 本レポートでは 2017 年 7 月 1 日から 2017 年 9 月 30 日まで

脆弱性対策情報データベース JVN iPedia に関する活動報告レポートについて

本レポートでは、2017 年 7 月 1 日から 2017 年 9 月 30 日までの間に JVN iPedia

で登録をした脆弱性対策情報の統計及び事例について紹介しています。

脆弱性対策情報データベース

JVN iPedia に関する

活動報告レポート

[2017 年第 3 四半期（7 月～9 月）]

独立行政法人情報処理推進機構 技術本部 セキュリティセンター 2017 年 10 月 24 日

目次 1. 2017 年第 3 四半期 脆弱性対策情報データベース JVN iPedia の登録状況 ... - 2 - 1-1. 脆弱性対策情報の登録状況 ... - 2 - 1-2. 【注目情報 1】「BlueBorne」と呼ばれる Bluetooth の脆弱性について ... - 3 - 1-3. 【注目情報 2】Apache Struts2 の脆弱性対策情報について ... - 4 - 2. JVN iPedia の登録データ分類 ... - 6 - 2-1. 脆弱性の種類別件数 ... - 6 - 2-2. 脆弱性に関する深刻度別割合 ... - 7 - 2-3. 脆弱性対策情報を公表した製品の種類別件数 ... - 8 - 2-4. 脆弱性対策情報の製品別登録状況 ... - 9 - 3. 脆弱性対策情報の活用状況 ... - 10 -

表 1-1. 2017 年第 3 四半期の登録件数 情報の収集元 登録件数 累計件数 日 本 語 版 国内製品開発者 3 件 186 件 JVN 181 件 7,651 件 NVD 3,511 件 66,854 件 計 3,695 件 74,691 件 英 語 版 国内製品開発者 3 件 186 件 JVN 66 件 1,611 件 計 69 件 1,797 件

1. 2017 年第 3 四半期 脆弱性対策情報データベース JVN iPedia の登録状況

脆弱性対策情報データベース「JVN iPedia（ http://jvndb.jvn.jp/ ）」は、ソフトウェア製品に関 する脆弱性対策情報を 2007 年 4 月 25 日から日本語で公開しています。システム管理者が迅速に脆 弱性対策を行えるよう、1）国内のソフトウェア開発者が公開した脆弱性対策情報、2）脆弱性対策情 報ポータルサイト JVN（*1）_{で公表した脆弱性対策情報、3）米国国立標準技術研究所 NIST}（*2）_の脆弱 性データベース「NVD（*3）_{」が公開した脆弱性対策情報を集約、翻訳しています。}

1-1.

脆弱性対策情報の登録状況 ～脆弱性対策情報の登録件数の累計は 74,691 件～ 2017 年第 3 四半期（2017 年 7 月 1 日から 9 月 30 日まで）に JVN iPedia 日本語版へ登録した脆弱 性対策情報は右表の通りとなり、脆弱性対策情報の 登録件数の累計は、74,691 件でした（表 1-1、図 1-1）。 2017 年から NVD の公開件数が大幅に増加しており、 今四半期の JVN iPedia の登録件数は 3,695 件と、昨 年同時期（2016 年 7 月～9 月）の件数 1,738 件と 比べて倍以上となっています。 また、JVN iPedia 英語版へ登録した脆弱性対策情報は右表の通り、累計で 1,797 件になりました。 61,309 63,047 64,618 67,485 70,996 74,691 0 10,000 20,000 30,000 40,000 50,000 60,000 70,000 80,000 0 1,000 2,000 3,000 4,000 5,000 2Q 2016 3Q 2016 4Q 2016 1Q 2017 2Q 2017 3Q 2017 四 半 期 件 数 国内製品開発者から収集したもの JVNから収集したもの NVDから収集したもの 累計件数（右目盛り） 1,738件 3,695件 2007/4/25 公開開始 累 計 件 数

図1-1. JVN iPediaの登録件数の四半期別推移

（*1） _{Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリ}

ティ対策を支援しています。IPA、JPCERT/CC が共同で運営しています。 https://jvn.jp

（*2） _{National Institute of Standards and Technology。米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する}

研究を行う機関。https://www.nist.gov

1-2.

【注目情報 1】「BlueBorne」と呼ばれる Bluetooth の脆弱性について ～全 8 件の脆弱性のうち半数の 4 件が深刻度「危険」、早急な脆弱性対策を～ 2017 年 9 月、Bluetooth（*4）_{に「BlueBorne」と呼ばれる脆弱性が存在することが海外のセキュリ} ティベンダ（*5）_{から公表されました。本脆弱性は、Android や iOS、Windows、Linux などで広く利} 用されている Bluetooth の実装に存在し、脆弱性の発見者によると 82 億デバイスを超える Blue-tooth 機能を持つすべてのデバイスに影響を与える可能性がある、という情報が公表されています。 対象となる製品などのデバイスが多数存在しており、被害が発生した場合の影響も大きいことから IPA では広く一般向けに緊急対策情報を公開（*6）_{しています。} 表 1-2 は JVN iPedia に登録された「BlueBorne」に関する脆弱性対策情報の一覧です。CVSSv2（基 本値）に着目すると、全 8 件の脆弱性のうち半数の 4 件が深刻度「危険」となっています。 表 1-2. JVN iPedia で公開している「BlueBorne」に関する脆弱性対策情報 警告 (4.3) CVSSv2 (基本値) 危険 (7.9) JVNDB-2017-007671 (CVE-2017-0781) Android システムにおけるアクセス制御に関する 脆弱性 JVNDB-2017-007672 (CVE-2017-0782) Android システムにおけるアクセス制御に関する 脆弱性 JVNDB-2017-007673 (CVE-2017-0783) Android システムにおける情報漏えいに関する脆 弱性 JVNDB-2017-007674 (CVE-2017-0785) Android システムにおける情報漏えいに関する脆 弱性 危険 (8.3) 危険 (8.3) 警告 (6.1) 注意 (3.3) 注意 (3.3) 危険 (8.3) 6 Linux Kernel におけるバッファエラーの脆弱性

7 JVNDB-2017-007675_{(CVE-2017-14315)} Apple iOS の LEAP の実装におけるヒープオー iOS バーフローの脆弱性 8 Windows Linux JVNDB-2017-007669 (CVE-2017-1000250) JVNDB-2017-007670 (CVE-2017-1000251) JVNDB-2017-007479 (CVE-2017-8628)

複数の Microsoft Windows 製品のMicrosoft Bluetooth ドライバにおけるなりすましの脆弱性 3 4 5 BlueZ における情報漏えいに関する脆弱性 Android No タイトル 脆弱性の影響を_{受けるOS種別} 1 2 JVNDB （CVE） これらの脆弱性を悪用された場合、デバイスに記録されている機密情報が、攻撃者により窃取され る、あるいはボットやランサムウェアをはじめとするマルウェア（ウイルス）に感染させられ遠隔操 作で機器を乗っ取られる、などの被害を受ける可能性があります。 Bluetooth 機能を持つ PC やスマートフォンなどのデバイスを利用する使用者は、デバイスを提供 するベンダのセキュリティ情報を確認し、当該脆弱性の対象となっている場合にはアップデートなど の対策を実施してください。また Bluetooth 機能を必要としない場合には、接続の設定を無効とする ことで本脆弱性の影響を回避できます。 なお、IPA では「重要なセキュリティ情報」を自組織内でいち早くキャッチできる、サイバーセキ ュリティ注意喚起サービス「icat for JSON」（*7）_{を提供しています。是非ご活用ください。}

（*4）_{無線通信の規格の１つ。例えばノートパソコンやスマートフォンにおいて短距離無線でキーボードやイアホンなどを接続する際}

などに利用される。

（*5）_{BlueBorne Information from the Research Team - Armis Labs}

https://www.armis.com/blueborne/

（*6）_{IPA：Bluetooth の実装における複数の脆弱性について}

https://www.ipa.go.jp/security/ciadr/vul/20170914_blueborne.html

（*7）_{IPA：サイバーセキュリティ注意喚起サービス「icat for JSON」}

1-3.

【注目情報 2】Apache Struts2 の脆弱性対策情報について ～直近 1 年間に登録した脆弱性対策情報は 8 件、その内の 3 件は最も深刻度の高い「危険」～ 約 1.4 億人に及ぶ顧客の氏名やクレジットカード情報などが流出した可能性があると、個人情報 を取り扱う米国の大手信用情報会社から、2017 年 9 月に公表（*8）_{されました。同社が公表した情} 報 に よ る と 、 悪 用 さ れ た の は 2017 年 3 月 に 公 開 済 の Apache Struts2 の 脆 弱 性 （JVNDB-2017-001621）であることが分かっています（*9）_{。IPA では、本脆弱性を悪用した攻撃} が発生することを予見して、2017 年 3 月に緊急対策情報（*10）_{を発信していました。} また、上記と異なる Apache Sturuts2 の脆弱性(JVNDB-2017-006931)が 2017 年 9 月に公開さ れており、これについても攻撃コードが存在し被害が発生する可能性があったため、IPA は 2017 年 9 月に注意喚起情報（*11）_{を発信しています。} 表 1-3 は直近 1 年間（2016 年 10 月 1 日～2017 年 9 月 30 日）に JVN iPedia に登録された、 Apache Struts2 に関する脆弱性対策情報の一覧です。直近 1 年間では上記２件を含む、合計 8 件 の Apache Struts2 に関する脆弱性対策情報を登録公開しています。

表 1-3. JVN iPedia で公開している Apache Struts2 に関する脆弱性対策情報 （対象期間：2016 年 10 月 1 日～2017 年 9 月 30 日）

No JVNDB_(CVE) タイトル CVSSv2

(基本値) JVN iPedia登録日 1 JVNDB-2015-007737_{(CVE-2015-5209)} Apache Struts 2 における Struts 内部を操作される脆弱性 _（警告_5.0） 2017/9/12 2 JVNDB-2017-006931_{(CVE-2017-9805)} Apache Struts2 に任意のコードが実行可能な脆弱性 (S2-052) _（危険_7.5） 2017/9/7 3 JVNDB-2017-005786_{(CVE-2017-9787)} Apache Struts 2 におけるアクセス制御に関する脆弱性 _(4.0）警告 2017/8/7 4 JVNDB-2017-005785_{(CVE-2017-7672)} Apache Struts 2 における入力確認に関する脆弱性 _(4.3)警告 2017/8/7 5 JVNDB-2017-004912_{(CVE-2017-9791)} Apache Struts2 の Struts1 プラグインを使用するアプリケーション

に任意のコードが実行可能な脆弱性

警告

(5.1) 2017/7/11 6 JVNDB-2017-001621_{(CVE-2017-5638)} Apache Struts2 に任意のコードが実行可能な脆弱性 _(10.0)危険 2017/3/10 7 JVNDB-2017-000012_(CVEなし) Apache Struts 2 において devMode が有効な場合に任意の _{Java(OGNL) コードが実行可能な問題 (6.8)}警告 2017/1/20 8 JVNDB-2016-005078_{(CVE-2016-4436)} Apache Struts 2 における脆弱性 _(7.5)危険 2016/10/6

上述した JVNDB-2017-001621 の脆弱性情報は、CVSSv2 基本値の中で最も深刻度が高い「危 険(10.0)」です。この他の２件を含め、8 件中 3 件が最も深刻度の高い「危険」となっています。 Apache Struts2 を利用するシステムの管理者は、日頃からソフトウェア提供元のベンダ情報（*12） やセキュリティベンダの情報を収集し迅速な脆弱性対策を実施することが重要です。IPA では 「Apache Struts2 の脆弱性対策情報一覧」（*13） _{を公開していますので、セキュリティ情報を収}

（*8）_{Equifax Announces Cybersecurity Incident Involving Consumer Information}

https://investor.equifax.com/news-and-events/news/2017/09-07-2017-213000628

（*9）_{Equifax Releases Details on Cybersecurity Incident, Announces Personnel Changes}

https://investor.equifax.com/news-and-events/news/2017/09-15-2017-224018832

（*10）_{IPA：Apache Struts2 の脆弱性対策について(CVE-2017-5638)(S2-045)(S2-046)}

https://www.ipa.go.jp/security/ciadr/vul/20170308-struts.html

（*11）_{IPA：Apache Struts2 の脆弱性対策について(CVE-2017-9805)(S2-052)}

https://www.ipa.go.jp/security/ciadr/vul/20170906-struts.html

（*12）_{Apache Struts 2 DocumentationSecurity Bulletins}

https://struts.apache.org/docs/security-bulletins.html

（*13）_{IPA：Apache Struts2 の脆弱性対策情報一覧}

2. JVN iPedia の登録データ分類

2-1.

脆弱性の種類別件数 図 2-1 は、2017 年第 3 四半期（7 月～9 月）に JVN iPedia へ登録した脆弱性対策情報を、共通脆 弱性タイプ一覧(CWE)によって分類し、件数を集計したものです。 集計結果は件数が多い順に、CWE-119（バッファエラー）が 735 件、CWE-284（不適切なアク セス制御）が 367 件、CWE-79（クロスサイト・スクリプティング）が 358 件、CWE-264（認可・ 権限・アクセス制御不備）が 327 件、CWE-200（情報漏えい）が 324 件でした。最も件数の多かっ た CWE-119（バッファエラー）は、悪用されるとサーバや PC 上で悪意のあるコードが実行され、 データを盗み見られたり、改ざんされる、などの被害が発生する可能性があります。 製品開発者は、ソフトウェアの企画・設計段階から、脆弱性の低減に努めることが求められます。 なお、IPA ではそのための資料やツールとして、開発者や運営者がセキュリティを考慮したウェブサ イトを作成するための資料「安全なウェブサイトの作り方（*14）_{」や「IPA セキュア・プログラミング} 講座（*15）_{」、脆弱性の仕組みを実習形式や演習機能で学ぶことができる脆弱性体験学習ツール} 「AppGoat（*16）_{」などを公開しています。} 735 367 358 _{327 324} 235 101 98 80 78 0 100 200 300 400 500 600 700 800

CWE-119 CWE-284 CWE-79 CWE-264 CWE-200 CWE-20 CWE-89 CWE-399 CWE-125 CWE-476 件 数 CWE-119 :バッファエラー CWE-284 :不適切なアクセス制御 CWE-79 :クロスサイト・スクリプティング CWE-264 :認可・権限・アクセス制御 CWE-200 :情報漏えい CWE-20 :不適切な入力確認 CWE-89 :SQLインジェクション CWE-399 :リソース管理の問題 CWE-125 :境界外読み取り CWE-476 :NULL ポインタデリファレンス 図2-1. 2017年第3四半期に登録された脆弱性の種類別件数 （*14）_{IPA：「安全なウェブサイトの作り方」} https://www.ipa.go.jp/security/vuln/websecurity.html （*15）_{IPA：「IPA セキュア・プログラミング講座」} https://www.ipa.go.jp/security/awareness/vendor/programming/ （*16）_{IPA：脆弱性体験学習ツール 「AppGoat」} https://www.ipa.go.jp/security/vuln/appgoat/

2-2.

脆弱性に関する深刻度別割合 図 2-2 は JVN iPedia に登録済みの脆弱性対策情報を CVSSv2 の値に基づいて深刻度別に分類し、 公表年別にその推移を示したものです。 脆弱性対策情報の登録開始から 2017 年 9 月 30 日までに JVN iPedia に登録した脆弱性対策情報 は深刻度別に、レベルⅢが全体の 38.4%、レベルⅡが 53.8%、レベルⅠが 7.8%となっており、情報 の漏えいや改ざんされるような高い脅威であるレベルⅡ以上が、92.2％を占めています。 既知の脆弱性による脅威を回避するため、製品利用者は日頃から脆弱性が解消されている製品への バージョンアップやアップデートなどを速やかに行ってください。 なお、JVN iPedia では、これまでの CVSSv2 による評価方法に加えて、2015 年 12 月 1 日から CVSSv3（*17）_{による評価方法も試行運用をしています}（*18）_。 6,600 _6,468 5,722 5,697 4,753 _4,490 5,477 5,890 7,498 7,035 8,051 6,897 0 1,000 2,000 3,000 4,000 5,000 6,000 7,000 8,000 9,000 10,000 ～2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017

件

数

レベルⅢ（危険、CVSS基本値=7.0～10.0） レベルⅡ（警告、CVSS基本値=4.0～6.9） レベルⅠ（注意、CVSS基本値=0.0～3.9）

図2-2. 脆弱性の深刻度別件数

(～2017/9/30) （*17）_{CVSSv3：脆弱性の深刻度を評価するための指標。} CVSSv2 と比較すると、仮想化やサンドボックス化などの利用状況の変化を取り込んだ仕様となっている。 https://www.ipa.go.jp/security/vuln/CVSSv3.html （*18）_{共通脆弱性評価システム CVSS v3 (新バージョン)での評価の開始について} https://www.ipa.go.jp/security/vuln/SeverityLevel3.html

2-3.

脆弱性対策情報を公表した製品の種類別件数 図 2-3 は JVN iPedia に登録済みの脆弱性対策情報を、ソフトウェア製品の種類別に件数を集計し、 年次でその推移を示したものです。2017 年で最も多い種別はアプリケーションに関する脆弱性対策 情報で、2017 年の件数全件の 74.3%（5,134 件／全 6,903 件）を占めています。 6,620 _6,470 5,727 5,699 4,769 4,515 5,484 5,896 7,509 7,040 8,059 6,903 0 1,000 2,000 3,000 4,000 5,000 6,000 7,000 8,000 9,000 10,000 ～2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017

件

数

産業用制御システム 組込みソフトウェア アプリケーション OS 5,134件 74.3%

図2-3. 脆弱性対策情報を公表した製品の種類別件数の公開年別推移

(～2017/9/30) また 2007 年以降、重要インフラなどで利用される、産業用制御システムに関する脆弱性対策情報 を登録しています。これまでに累計で、1,190 件を登録しています（図 2-4）。 1 9 10 22 94 178 141 191 151 240 153 0 40 80 120 160 200 240 280 2007年 2008年 2009年 2010年 2011年 2012年 2013年 2014年 2015年 2016年 2017年

件

数

図2-4. JVN iPedia 登録件数（産業用制御システムのみ抽出） (～2017/9/30)

2-4.

脆弱性対策情報の製品別登録状況 表 2-1 は 2017 年第 3 四半期（7 月～9 月）に JVN iPedia へ脆弱性対策情報の登録件数が多かっ た製品の上位 20 件を示したものです。1 位の Android OS の登録件数は 298 件となっており、２位 の画像処理ソフト ImageMagick の 123 件と比較をすると倍以上の件数となっています。また、3 位 以降については OS、PDF、画像処理といった分類の製品が占めており、国内の企業や家庭で使われ ている製品に関する脆弱性対策情報が広く登録されています。 JVN iPedia は、表に記載されている製品以外にも、幅広い脆弱性対策情報を登録公開しています。 製品の利用者や開発者は、自組織などで使用しているソフトウェアの脆弱性対策情報を迅速に入手し、 効率的な対策に役立ててください（*19）_。 表 2-1. 製品別 JVN iPedia の脆弱性対策情報登録件数 上位 20 件 [2017 年 7 月～2017 年 9 月] 順位 カテゴリ 製品名（ベンダ名） 登録件数 1 OS Android(Google) 298 2 画像処理ソフト ImageMagick(ImageMagick) 123 3 ブラウザ Microsoft Edge(マイクロソフト) 80 4 画像処理ソフト XnView(XnSoft) 74 5 OS Microsoft Windows 10(マイクロソフト) 73 6 OS Microsoft Windows Server 2016(マイクロソフト) 69 7 PDF 閲覧・編集 Adobe Acrobat(アドビシステムズ) 66

7 PDF 閲覧 Adobe Reader(アドビシステムズ) 66

7 PDF 閲覧・編集 Adobe Acrobat DC(アドビシステムズ) 66 7 PDF 閲覧 Adobe Acrobat Reader DC(アドビシステムズ) 66 11 OS Microsoft Windows 8.1(マイクロソフト) 60 11 OS Microsoft Windows Server 2012(マイクロソフト) 60 13 OS Microsoft Windows Server 2008(マイクロソフト) 55 14 OS Microsoft Windows RT 8.1(マイクロソフト) 54 15 OS Microsoft Windows 7(マイクロソフト) 52 16 画像ビューア IrfanView(Irfan Skiljan) 51 17 OS iOS(アップル) 48 18 OS Linux Kernel(kernel.org) 40 19 OS tvOS(アップル) 37

19 バイナリツール GNU Binutils(GNU Project) 37

（*19）_{脆弱性情報の収集や集めた情報の活用方法についての手引きをまとめたレポート}

「脆弱性対策の効果的な進め方（実践編）」を公開。

3. 脆弱性対策情報の活用状況

表 3-1 は 2017 年第 3 四半期（7 月～9 月）にアクセスの多かった JVN iPedia の脆弱性対策情報 の上位 20 件を示したものです。1 位の ScreenOS は企業向けルータで使用される OS 製品です。こ の製品の脆弱性種別はクロスサイトスクリプティングとなっており、悪用をされるとルータ管理者が 操作するウェブブラウザ上で任意の Web スクリプトまたは HTML を挿入されるなどの被害が発 生する可能性があります。対象製品を利用している場合、システム管理者は、ベンダが提供する対策 パッチなどを早期に自システムに適用し、攻撃による被害を未然に防ぐことが重要です。 表 3-1.JVN iPedia の脆弱性対策情報へのアクセス 上位 20 件 [2017 年 7 月～2017 年 9 月] 順 位 ID タイトル CVSSv2 基本値 公開日 アクセ ス数 1 JVNDB-2017-000183 ScreenOS における複数のクロスサイトスクリ プティングの脆弱性 4.0 2017/7/24 4,772 2 JVNDB-2017-000174 アタッシェケースで作成された自己実行可能形 式の暗号化ファイルにおける DLL 読み込みに 関する脆弱性 6.8 2017/7/14 4,394 3 JVNDB-2017-000169

Lhaz と Lhaz+ のインストーラ、および Lhaz や Lhaz+ で作成された自己解凍書庫ファイル における DLL 読み込みに関する脆弱性 6.8 2017/7/7 4,223 4 JVNDB-2017-000179 バッファロー製の複数の無線 LAN アクセスポ イントにおける認証不備の脆弱性 10.0 2017/7/20 3,826 5 JVNDB-2017-005208 gSOAP にスタックバッファオーバーフローの 脆弱性 7.5 2017/7/21 3789 6 JVNDB-2017-000182

WordPress 用プラグイン Simple Custom CSS and JS におけるクロスサイトスクリプティング の脆弱性 2.6 2017/7/24 3,705 7 JVNDB-2017-000180 バッファロー製の複数の無線 LAN ルータに複 数の脆弱性 4.3 2017/7/20 3,667 8 JVNDB-2016-005802 Microsoft IME における任意の DLL 読み込み に関する脆弱性 5.1 2016/11/11 3,654 9 JVNDB-2017-000171

Windows 版 Mozilla Firefox および Thun-derbird のインストーラにおける DLL 読み込 みに関する脆弱性

6.8 2017/7/11 3,607

10 JVNDB-2017-000184 Tween のインストーラにおける DLL 読み込み

に関する脆弱性 6.8 2017/7/24 3,594

11 JVNDB-2017-000181 WordPress 用プラグイン Popup Maker にお

けるクロスサイトスクリプティングの脆弱性 2.6 2017/7/24 3,555 12 JVNDB-2017-000177 スマートフォンアプリ「RBB SPEED TEST」にお

ける SSL サーバ証明書の検証不備の脆弱性 4.0 2017/7/24 3,550

13 JVNDB-2017-000173

Yahoo!ツールバー (Internet explorer 版) のイ ンストーラにおける任意の DLL 読み込みの脆 弱性

順 位 ID タイトル CVSSv2 基本値 公開日 アクセ ス数 14 JVNDB-2016-004511 TLS プロトコルなどの製品で使用される DES および Triple DES 暗号における平文のデータ を取得される脆弱性 5.0 2016/9/2 3,384 15 JVNDB-2017-000176 ソニー製ポータブルワイヤレスサーバー WG-C10 におけるアクセス制限不備の脆弱性 7.5 2017/7/19 3,336 16 JVNDB-2017-000175 ソニー製ポータブルワイヤレスサーバー WG-C10 における複数の脆弱性 5.2 2017/7/19 3,273 17 JVNDB-2017-000153 法務省が提供する PDF 署名プラグインのインス トーラにおける任意の DLL 読み込みに関する 脆弱性 6.8 2017/6/30 3,267 18 JVNDB-2017-000185 WN-AX1167GR における複数の脆弱性 8.3 2017/7/27 3,266 19 JVNDB-2017-000158 国土交通省が提供する電子成果物作成支援・検査 システムのインストーラおよびインストーラを 含む自己解凍書庫における DLL 読み込みに関 する脆弱性 6.8 2017/7/3 3,250 20 JVNDB-2017-000188 WN-G300R3 において認証情報がハードコード されている問題 8.3 2017/7/27 3,244 表 3-2 は国内の製品開発者から収集した脆弱性対策情報でアクセスの多かった上位 5 件を示してい ます。 表 3-2.国内の製品開発者から収集した脆弱性対策情報へのアクセス 上位 5 件 [2017 年 7 月～2017 年 9 月] 順 位 ID タイトル CVSSv2 基本値 公開日 アクセ ス数 1 JVNDB-2016-008607 Cosminexus HTTP Server および Hitachi Web

Server における脆弱性 4.3 2017/6/26 3,143 2 JVNDB-2017-002225 複数の日立製品におけるクロスサイトスクリプ

ティングの脆弱性 4.3 2017/4/5 2,260

3 JVNDB-2017-003108 Hitachi IT Operations Director および JP1/IT

Desktop Management における複数の脆弱性 7.5 2017/5/16 2,169 4 JVNDB-2017-006466 HiRDB におけるサービス運用妨害 (DoS) の脆

弱性 5.0 2017/8/28 2,043

5 JVNDB-2017-006769 JP1 および Hitachi IT Operations Director 製

品におけるサービス運用妨害 (DoS) の脆弱性 5.0 2017/9/4 1,954 注 1）CVSSv2 基本値の深刻度による色分け CVSS 基本値=0.0～3.9 深刻度=レベル I（注意） CVSS 基本値=4.0～6.9 深刻度=レベル II（警告） CVSS 基本値=7.0～10.0 深刻度=レベル III（危険） 注 2）公開日の年による色分け 2015 年以前の公開 2016 年の公開 2017 年の公開